Visa 패스키: Visa 결제 패스키 서비스

금융 서비스 부문과 결제 산업이 패스키에 전적으로 투자하고 있습니다. Revolut과 같은 은행, Finom과 같은 핀테크 기업, PayPal과 같은 결제 제공업체에서 패스키를 출시한 데 이어, 약 한 달 전인 2024년 4월 Mastercard가 토큰 인증 서비스를 도입했고, 이제 Visa도 연례 결제 포럼에서 **Visa 결제 패스키 서비스(Visa Payment Passkey Service)**라는 자체 패스키 서비스를 선보였습니다.

이전에도 우리는 금융계에서 이러한 변화가 미치는 영향, 특히 강력한 고객 인증(SCA), PSD2, 동적 연결에 관해 논의한 바 있습니다. 자세한 내용은 아래 블로그 게시물에서 확인하세요.

• 2025년 은행 패스키 보고서
• 기기 연동 패스키 vs. 동기화 패스키
• PSD2 및 SCA 요구사항 분석
• SCA 요구사항이 패스키에 미치는 영향
• PSD3 / PSR이 패스키에 미치는 영향
• PSD2 패스키: 피싱 방지 기능이 있는 PSD2 준수 MFA
• 패스키를 사용한 동적 연결: 보안 결제 확인(SPC)

이 블로그 게시물에서는 Visa의 패스키 접근 방식과 이것이 결제 보안의 미래에 미치는 영향, 그리고 업계의 새로운 표준을 설정하고 있는 결제 패스키 혁신에 대해 살펴보겠습니다.

금융 서비스 산업에서 패스키가 부상하는 주된 이유는 소비자의 기대 때문입니다. 최근 Visa의 통찰에 따르면, 소비자의 62%가 인증 문제로 온라인 구매를 포기한 경험이 있다고 합니다. 또한 보안도 문제입니다. 소비자의 26%가 PIN을 공유한 적이 있다고 인정했는데, 이는 기존 인증 방식의 취약점을 잘 보여줍니다. 놀랍게도 온라인 결제 사기율은 오프라인 사기보다 7배나 높아, 더욱 안전한 디지털 거래 방식의 필요성을 강조합니다.

Visa의 Visa 결제 패스키 서비스 도입은 이러한 우려를 해결하기 위한 중요한 진전입니다. 비밀번호와 일회용 코드를 패스키로 대체함으로써, Visa 패스키는 온라인 쇼핑 경험을 간소화하고 마찰을 줄이며 보안을 강화합니다. 금융 기관, 특히 금융 서비스 패스키를 통합하는 기관들은 이 기술이 소비자 신뢰를 높일 뿐만 아니라 전반적인 운영 효율성을 개선한다는 점을 인식하고 있습니다. 패스키는 사용자 친화적일 뿐만 아니라 피싱과 같은 사이버 공격에도 강력합니다.

패스키는 보안을 개선하면서 동시에 사용자 경험을 향상시키려는 금융 기관에게 매력적인 해결책을 제시합니다. 이 기술은 유럽 연합의 **결제 서비스 지침 2(PSD2)**와 완벽하게 부합하며, 이는 **강력한 고객 인증(SCA)**을 의무화합니다. PSD2는 사용자가 알고 있는 것, 소유하고 있는 것, 또는 사용자의 생체 정보 중 최소 두 가지를 사용하여 거래를 인증하도록 요구합니다. 패스키는 생체 데이터(사용자의 생체 정보)와 기기의 보안 영역, 신뢰 실행 환경(TEE) 또는 신뢰 플랫폼 모듈(TPM) 등에 안전하게 저장된 개인 키(사용자가 소유한 것)를 활용하여 이러한 기준을 충족합니다.

Visa는 Mastercard보다 2년 늦은 2014년에 FIDO 얼라이언스에 가입함으로써 패스키의 발전에 중요한 역할을 해왔습니다.

패스키의 전신으로 볼 수 있는 Visa의 이전 서비스 중 하나는 **Visa 생체 인증 앱(Visa Biometric Authenticator App)**입니다. 안타깝게도 이 앱은 문서와 자산에 대한 접근이 제한된 제품이었습니다.

2019년, Visa는 독일의 신용카드 소지자 1,000명을 대상으로 생체 인식과 소비자 선호도에 대한 연구를 수행했습니다. 연구 결과, 소비자들이 기존 비밀번호보다 생체 인증을 강력하게 선호하는 것으로 나타났습니다. 응답자의 90%가 지문을 안전한 신원 확인 방법으로 간주한 반면, **PIN은 77%, 비밀번호는 73%**에 그쳤습니다. 또한 홍채 및 얼굴 스캔과 같은 방법도 PIN이나 비밀번호보다 더 안전한 것으로 평가되었습니다. 이는 아마도 Visa에게 생체 인식, 그리고 나아가 패스키를 추진해야 할 방향을 제시했을 것입니다.

2024년 결제 포럼에서 Visa는 Visa 결제 패스키 서비스를 공식 발표했습니다. Visa의 최고 제품 및 전략 책임자인 잭 포레스텔(Jack Forestell)은 다음과 같이 설명했습니다.

Mastercard의 접근 방식과 마찬가지로 Visa 결제 패스키 서비스라는 구체적인 브랜딩은 중요합니다. 이는 의도적으로 해당 기술을 금융 거래의 맥락 안에서 정의합니다. 일반적인 로그인 패스키와 달리, 결제 인증은 PSD2 SCA와 같은 더 엄격한 규정을 준수해야 하며, 여기에는 인증을 특정 거래 세부 정보에 암호화 방식으로 연결하는 동적 연결 요구사항이 포함됩니다. 이 브랜딩은 Visa 결제 패스키 서비스가 편의성뿐만 아니라 이러한 까다로운 결제 관련 보안 및 규정 준수 요구사항을 충족하도록 설계되었음을 시사합니다.

Visa 결제 패스키 서비스는 먼저 Visa의 Click to Pay 플랫폼에 통합되어 대규모로 원활하고 안전한 결제 경험을 제공할 것입니다. 또한 이 서비스는 Visa 원클릭 결제와 같은 혁신을 위한 길을 열어 수동 입력을 줄이고 소비자 경험을 향상시킬 것입니다. Visa는 또한 다양한 시장의 카드 발급사와 협력하여 새로운 Visa 카드에 Click to Pay와 Visa 결제 패스키 서비스를 활성화할 계획입니다. 이 통합은 카드를 받는 순간부터 카드 정보와 비밀번호를 수동으로 입력할 필요를 줄여 사용자 경험을 더욱 단순화할 것입니다.

Visa의 Visa 결제 패스키 서비스 출시는 결제 분야에서 패스키의 중요한 진전입니다. Visa는 3대 신용카드 발급사 중 두 번째로 전용 패스키 서비스를 제공하게 되었습니다.

Visa 결제 패스키 서비스를 통해 기존의 비밀번호 기반 인증을 완전히 대체할 수 있습니다. 우리는 Mastercard의 토큰 인증 서비스 / Mastercard 결제 패스키와 유사하게, Visa의 결제 패스키 서비스도 사용자가 Visa에서 패스키를 한 번 생성하면, 이 패스키를 사용하여 참여하는 모든 가맹점 사이트에서 거래를 인증할 수 있으며, 새로운 가맹점 사이트를 방문할 때마다 새로운 패스키를 만들 필요가 없을 것으로 기대합니다. 또한 이 기술은 디지털 결제 여정을 재정의할 결제 패스키를 지원합니다.

Visa 접근 방식의 핵심 전략 요소는 인프라입니다. Visa는 자체 FIDO 서버를 구축하고 운영하여 Visa 결제 패스키 서비스를 지원합니다. 이는 Visa가 "연합 모델"이라고 부르는 것의 기반이 됩니다. 이 모델에서 Visa는 자체 FIDO 서버를 사용하여 고객 신원을 직접 인증하고 확인하는 책임을 집니다. 이는 가맹점이나 카드 발급사가 FIDO 인증 프로세스의 일부를 직접 구현하고 관리해야 할 수 있는 모델과는 크게 다릅니다. 가맹점의 경우, 이러한 연합 접근 방식은 통합을 획기적으로 단순화합니다. 가맹점은 Visa 결제 패스키 서비스와 한 번만 통합하면 됩니다. Visa가 기본 FIDO 인증의 복잡성을 처리하므로 가맹점은 자체 서버를 구축하거나 복잡한 기술 통합을 관리하거나 인증을 위해 개별적으로 카드 발급사를 등록할 필요가 없습니다. 이러한 의도적인 설계 선택은 진입 장벽을 낮추고 Visa의 광범위한 가맹점 네트워크 전반에 걸쳐 채택을 가속화하는 것을 목표로 합니다.

가맹점이 Visa의 결제 패스키 서비스를 채택하면 다음과 같은 몇 가지 주요 이점을 얻을 수 있습니다.

• 사기 및 지불 거절 감소: 사용자의 생체 데이터를 활용하는 인증 프로세스는 사기 및 지불 거절의 위험을 크게 낮춥니다.
• 결제 과정의 마찰 최소화: 더 원활한 거래 프로세스는 더 높은 승인율과 전환율로 이어집니다.

쇼핑객에게 이 서비스는 다음을 제공합니다.

• 원활한 결제 경험: 다양한 기기와 가맹점의 상점에서 간소화된 결제 프로세스를 경험할 수 있습니다.
• 강화된 보안: 피싱에 강한 다단계 인증(MFA)은 신용카드 사기 및 피싱 공격에 대한 방어를 강화합니다. 경우에 따라 이 서비스는 Visa 소비자 인증 서비스와 유사한 기준을 충족하여 온라인 거래에 대한 최고의 보안을 보장합니다.

카드 발급사의 이점은 다음과 같습니다.

• 사기 손실 감소: 전반적인 사기율 감소는 무단 거래와 관련된 재정적 손실을 줄여 카드 발급사에게 직접적인 이익이 됩니다.
• 인증 비용 절감: SMS OTP에서 벗어나면 메시지 전송 및 해당 인프라 관리와 관련된 운영 비용을 잠재적으로 줄일 수 있습니다.
• 고객 경험 개선: 마찰 없고 안전한 결제 경험은 카드 소지자의 만족도와 충성도를 높입니다.
• Visa가 관리하는 인증 지원: 카드 발급사는 Visa가 핵심 인증 인프라 및 지원을 관리함으로써 자체 유지 관리 부담을 줄일 수 있습니다.

Mastercard가 더 많은 정보를 공개하면 Mastercard 토큰 인증 서비스를 기존 시스템에 통합하는 방법에 대한 더 자세한 기술적 분석을 작성할 예정입니다. 최신 정보를 놓치지 않으려면 Passkeys Substack을 구독하거나 Slack의 Passkey 커뮤니티에 가입하세요.

그때까지는 Visa의 발표 영상을 통해 개념을 더 자세히 알아보는 것을 추천합니다.

새로운 Visa 결제 패스키 서비스와 기존의 **Visa 소비자 인증 서비스(VCAS)**를 구별하는 것이 중요합니다.

• VCAS는 Visa가 EMV 3-D Secure 프로그램을 지원하기 위해 카드 발급사에 제공하는 기존의 호스팅된 접근 제어 서버(ACS) 솔루션입니다.
• VCAS는 주로 **위험 기반 인증(RBA)**에 의존합니다. 독점적인 위험 점수 엔진을 사용하여 방대한 거래 데이터(최대 150개의 데이터 포인트로 알려짐)를 분석하여 거래가 저위험(마찰 없는 흐름 허용)인지 고위험(추가 인증 요구)인지 결정합니다.
• VCAS가 추가 인증을 요구할 때, SMS나 이메일로 전송되는 OTP 또는 카드 발급사가 Visa의 동반 생체 인증 앱을 활용하는 경우 생체 인식을 포함한 다양한 방법을 지원할 수 있습니다.
• 반면, Visa 결제 패스키 서비스는 근본적으로 FIDO/패스키 기술을 기반으로 구축된 Visa의 새로운 전용 서비스입니다. 암호화 키와 로컬 생체 인식/PIN을 사용하여 인증을 위해 기기의 기본 FIDO 기능을 직접 활용합니다.

두 서비스 모두 전자상거래 인증의 보안을 강화하고 마찰을 줄이는 것을 목표로 하지만, Visa 결제 패스키 서비스는 일반적인 추가 인증 수단으로 OTP에 의존하는 RBA 방식이 아닌, 비밀번호 없고 피싱에 강한 FIDO 기반 표준을 기본 인증 방식으로 사용하는 기술적 전환을 의미합니다.

Visa의 결제 패스키 서비스가 결제 제공업체 환경에 패스키를 도입한 것은 전체 산업에 또 다른 큰 이정표가 되었습니다. 이 혁신적인 접근 방식은 생체 인증을 통해 거래 보안을 강화할 뿐만 아니라, 오늘날 결제 산업에서 가장 중요한 두 가지 측면인 원활하고 마찰 없는 사용자 경험을 제공합니다.

가맹점에게 Visa 패스키 통합은 사기 및 지불 거절의 상당한 감소를 의미합니다. 소비자에게는 더 안전하고 간소화된 결제 과정을 약속합니다. 개발자와 제품 관리자는 결제 보안 및 사용자 경험의 최전선에 서기 위해 이 기술을 탐색하는 것이 좋습니다.

한 가지 질문이 남습니다. Visa(그리고 최근의 Mastercard)가 패스키를 도입한 지금, American Express는 Mastercard와 Visa를 따라잡기 위해 어떤 패스키 계획을 세우고 있을까요?

Corbado는 디지털 플랫폼 전반에 걸쳐 결제 패스키를 구현하든 금융 서비스 패스키 솔루션을 탐색하든, 패스키를 손쉽게 통합하는 데 필요한 도구와 전문 지식을 제공하기 위해 최선을 다하고 있습니다. 패스키가 디지털 인증을 어떻게 형성하고 있는지에 대한 더 많은 통찰력과 상세한 분석을 기대해 주세요.